Zahteve glede sobivanja

• Storitev preverjanja pristnosti mora imeti sorezident z aplikacijami Xsi, ker morajo ti vmesniki sprejeti dolgoletne žetone za pooblastitev storitve. Za potrditev teh žetonov je zahtevana storitev preverjanja pristnosti.

• Storitev preverjanja pristnosti in Xsi se lahko po potrebi zaženeta na istih vratih.

• Druge storitve/aplikacije lahko ločite, kot je potrebno za vašo lestvico (na primer XSP za upravljanje namenske naprave|ADP farm).

• Lahko sonajdete aplikacije Xsi, CTI, storitev preverjanja pristnosti in DMS.

• Ne namestite drugih aplikacij ali storitev na XSP|ADP, ki se uporabljajo za integracijo BroadWorks z Webex.

• Ne locirajte aplikacije NPS z drugimi aplikacijami.

Vmesniki Xsi

Namestite in konfigurirajte aplikacije Xsi-Actions in Xsi-Events, kot je opisano v Navodilih za konfiguriranje vmesnika za storitve Cisco BroadWorks.

Na XSP|ADP, ki se uporablja za vmesnik CTI, se lahko namesti samo en primerek aplikacij Xsi-Events.

Vsi Xsi-Events, ki se uporabljajo za integracijo Broadworks z aplikacijo Webex, morajo imeti isto callControlApplicationName, ki je določena v razdelku Aplikacije/Xsi-Events/GeneralSettings. Na primer:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> pridobi

callControlApplicationName = com.broadsoft.xsi-events

Ko se uporabnik vključi v Webex, Webex ustvari naročnino za uporabnika na AS, da prejme dogodke telefonije za prisotnost in zgodovino klicev. Naročnina je povezana s callControlApplicationName in jo AS uporablja, da ugotovi, kateremu Xsi-Events naj pošlje dogodke telefonije.

Konfigurirajte storitev preverjanja pristnosti (s potrditvijo žetona CI)

Uporabite ta postopek, če želite konfigurirati storitev preverjanja pristnosti za uporabo preverjanja žetona CI s TLS. Ta metoda preverjanja pristnosti je priporočena, če uporabljate različico R22 ali novejšo in jo vaš sistem podpira.

1. Pridobivanje poverilnic OAuth za vaš Webex za Cisco BroadWorks.

2. Na vsakem strežniku XSP|ADP namestite naslednje popravke. Namestite popravke, ki so primerni za vašo izdajo:

   • Za R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • Za R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • Za R24 – popravek ni potreben

   Vsako sklicevanje na XSP vključuje XSP ali ADP.

3. Namestite aplikacijo AuthenticationService v vsako storitev XSP|ADP.

   1. Zaženite naslednji ukaz, da aktivirate aplikacijo AuthenticationService na XSP|ADP na kontekstno pot /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> aktiviraj storitev preverjanja pristnosti aplikacije 22.0_1.1123/authService

   2. Zaženite ta ukaz, da uvedete AuthenticationService na XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> uvajanje aplikacije /authServiceBroadWorks SW Manager uvajanje /authService...

4. Začenši z gradnjo Broadworks 2022.10, organi za potrdila, ki prihajajo z Javo, pri preklopu na novo različico Jave niso več samodejno vključeni v shrambo zaupanja BroadWorks. AuthenticationService odpre povezavo TLS z Webexom, da pridobi žeton za dostop, in mora imeti v shrambi zaupanja naslednje za potrditev IDBroker in URL Webex:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Certificate Authority - G2

   Preveri, če so ta potrdila prisotna pod naslednjim CLI

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> pridobi

   Če niso prisotni, zaženite naslednji ukaz za uvoz privzetih zaupanja v Javo:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> uvozJavaCATrust

   Ta potrdila lahko tudi ročno dodate kot sidra zaupanja z naslednjim ukazom:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> posodobiTrust

   Če je ADP nadgrajen s prejšnje izdaje, se organi za potrdila iz stare izdaje samodejno uvozijo v novo izdajo in se bodo še naprej uvažali, dokler jih ročno ne odstranite.

   Aplikacija AuthenticationService je izvzeta iz nastavitve validatePeerIdentity v okviru ADP_CLI/System/SSLCommonSettings/GeneralSettings in vedno potrdi vzajemno Identiteto. Glejte FD za potrjevanje potrdila Cisco Broadworks X509 za več informacij o tej nastavitvi.

5. Konfigurirajte ponudnike identitete tako, da v vsakem strežniku XSP|ADP zaženete naslednje ukaze:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco> pridobite

   • nastavi clientId client-Id-From-Step1

   • nastavi omogočeno true

   • nastavi clientSecret client-Secret-From-Step1

   • nastavi ciResponseBodyMaxSizeInBytes 65536

   • nastavite issuerName – Za URL, vnesite URL IssuerName, ki velja za vašo gručo CI. Glej naslednjo preglednico.

   • nastavite issuerUrl – Za URL, vnesite IssuerUrl, ki velja za vašo gručo CI. Glej naslednjo tabelo.

   • nastavite tokenInfoUrl – Vnesite URL proxy IdP, ki velja za vašo gručo Teams. Glej drugo tabelo, ki sledi.

   Tabela 1. Nastavi izdajateljaName in issuerURL

   Če je gruča CI ...	Nastavi issuerName in issuerURL na...
   us - a	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   us- b	https://idbroker-b-us.webex.com/idb
   Če ne poznate svoje gruče CI, lahko informacije dobite iz podrobnosti o stranki v pogledu podpore zvezdišča Control Hub.

   Tabela 2. Nastavi tokenInfoURL

   Če je gruča Teams ...	Nastavi tokenInfoURL na...(IdP Proxy URL)
   okm	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   afra	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   aore	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   Če ne poznate svoje gruče Teams, lahko informacije iz podrobnosti o stranki dobite v pogledu podpore za zvezdišče Control Hub. Za preskus lahko preverite, ali je tokenInfoURL veljaven, tako da zamenjate del URL-ja "idp/authenticate" z "ping".

6. Določite upravičenost Webex, ki mora biti prisotna v uporabniškem profilu v aplikaciji Webex, tako da izvedete naslednji ukaz:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Scopes> nabor obsega broadworks-priključka:uporabnik

7. Konfigurirajte ponudnike identitete za federacijo Cisco z naslednjimi ukazi na vsakem strežniku XSP|ADP:

   XSP|ADP_CLI/Applications/AuthenticationService/IdentityProviders/Cisco/Federation> pridobite

   • nastavi flsUrl https://cifls.webex.com/federation

   • nastavi osvežitevPeriodInMinutes 60

   • nastavi osvežitevToken refresh-Token-From-Step1

8. Zaženite naslednji ukaz, da preverite, ali vaša konfiguracija FLS deluje. Ta ukaz bo vrnil seznam ponudnikov identitete:

   XSP|ADP_CLI/Applications/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> Get

9. Konfigurirajte upravljanje žetonov z naslednjimi ukazi na vsakem strežniku XSP|ADP:

   • XSP|ADP_CLI/Aplikacije/AuthenticationService/TokenManagement>

   • set tokenIssuer BroadWorks

   • nastavljen žetonDurationInHours 720

10. Ustvarite in dajte v skupno rabo ključe RSA. Ustvariti morate ključe na enem XSP|ADP in jih kopirati v vse druge XSP|ADP. Razlog za to so naslednji dejavniki:

    • Za šifriranje/dešifriranje žetonov morate uporabiti iste pare javnih/zasebnih ključev v vseh primerkih storitve preverjanja pristnosti.

    • Par ključev ustvari storitev preverjanja pristnosti, ko je prvič zahtevana za izdajo žetona.

    Če ciklirate tipke ali spremenite dolžino ključa, morate ponoviti naslednjo konfiguracijo in znova zagnati vse XSP|ADP.

    1. Izberite en XSP|ADP, ki ga želite uporabiti za ustvarjanje para ključev.

    2. Odjemalec uporabite za zahtevanje šifriranega žetona iz tega XSP|ADP tako, da zahtevate naslednji URL iz brskalnika odjemalca:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

       (To ustvari par zasebnega/javnega ključa na XSP|ADP, če ga še ni bilo)

    3. Lokacije shrambe ključa ni mogoče konfigurirati. Izvozi ključe:

       XSP|ADP_CLI/Aplikacije/AuthenticationService/KeyManagement> izvozKljuči

    4. Kopirajte izvoženo datoteko /var/broadworks/tmp/authService.keys na isto lokacijo v drugih XSP|ADP in po potrebi preglasite starejšo datoteko .keys .

    5. Uvozite tipke na vsakem od drugih XSP|ADP:

       XSP|ADP_CLI/Applications/authenticationService/KeyManagement> uvozKeys /var/broadworks/tmp/authService.keys

11. Zagotovite URL authService spletnemu vsebniku. Spletni vsebnik XSP|ADP potrebuje URL authService, da lahko potrdi žetone. Na vsakem od XSP|ADP:

    1. Dodajte URL storitve preverjanja pristnosti kot zunanjo storitev preverjanja pristnosti za komunikacijski pripomoček BroadWorks:

       XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> nastavite URL http://127.0.0.1:80/authService

    2. Dodajte URL storitve preverjanja pristnosti v vsebnik:

       XSP|ADP_CLI/Maintenance/ContainerOptions> dodajte tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       Tako lahko Webex uporabi storitev preverjanja pristnosti za potrjevanje žetonov, predstavljenih kot poverilnice.

    3. Preverite parameter z get.

    4. Znova zaženite XSP|ADP.

Odstranite zahtevo za preverjanje pristnosti odjemalca za storitev preverjanja pristnosti (le R24)

Če imate storitev preverjanja pristnosti konfigurirano s potrjevanjem žetona CI na R24, morate odstraniti tudi zahtevo za preverjanje pristnosti odjemalca za storitev preverjanja pristnosti. Zaženi naslednji ukaz CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> nastavi AuthenticationService clientAuthReq false

Konfiguracija TLS in šifer na vmesnikih HTTP (za XSI in storitev preverjanja pristnosti)

Storitve za preverjanje pristnosti, Xsi-Actions in Xsi-Events uporabljajo vmesnike strežnika HTTP. Ravni konfiguracije TLS za te aplikacije so naslednje:

Najbolj splošno = Sistem > Transport > HTTP > HTTP Vmesnik strežnika = Najbolj specifičen

Konteksti CLI, ki jih uporabljate za ogled ali spreminjanje različnih nastavitev SSL, so:

Branje konfiguracije vmesnika TLS strežnika HTTP na XSP|ADP

1. Vpišite se v XSP|ADP in pojdite v XSP|ADP_CLI/Interface/Http/HttpServer>

2. Vnesite ukaz get in preberite rezultate. Morali bi videti vmesnike (naslove IP) in za vsakega posebej, ali so varni in ali zahtevajo preverjanje pristnosti odjemalca.

Apache tomcat izda potrdilo za vsak varen vmesnik; sistem ustvari samopodpisano potrdilo, če ga potrebuje.

XSP|ADP_CLI/Interface/Http/HttpServer> get

Dodajanje protokola TLS 1.2 v vmesnik strežnika HTTP

Vmesnik HTTP, ki sodeluje z oblakom Webex, mora biti konfiguriran za TLSv1.2. Oblak se ne pogaja o starejših različicah protokola TLS.

Za konfiguracijo protokola TLSv1.2 na vmesniku strežnika HTTP:

1. Vpišite se v XSP|ADP in pojdite v XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. Vnesite ukaz get 443 , da si ogledate, kateri protokoli se že uporabljajo v tem vmesniku.

3. Vnesite ukaz dodaj 443 TLSv1.2 , da zagotovite, da lahko vmesnik uporablja TLS 1.2 pri komuniciranju z oblakom.

Urejanje konfiguracije ciphers TLS na vmesniku strežnika HTTP

Če želite konfigurirati zahtevane šifre:

1. Vpišite se v XSP|ADP in pojdite v XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. Vnesite ukaz get 443 , da si ogledate, katere šifre se že uporabljajo v tem vmesniku. Obstajati mora vsaj ena od priporočenih zbirk družbe Cisco (glejte XSP|ADP Identity in Security Requirements v razdelku Pregled).

3. Vnesite ukaz dodaj 443 , da dodate šifro v vmesnik strežnika HTTP.

   XSP|ADP CLI zahteva ime standardne zbirke šifer IANA in ne ime zbirke šifer openSSL. Če želite na primer dodati šifro openSSL ECDHE-ECDSA-CHACHA20-POLY1305 v vmesnik strežnika HTTP, uporabite: XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>dodajte 192.0.2.7 443 TLS_ECDHE_ECDSA_S_CHACHA20_POLY1305

   Poiščite https://ciphersuite.info/ komplet po katerem koli imenu.

Konfigurirajte upravljanje naprav na XSP|ADP, strežniku aplikacij in profilnem strežniku

Profilni strežnik in XSP|ADP sta obvezna za upravljanje naprave. Konfigurirati jih je treba v skladu z navodili v Priročniku za konfiguracijo upravljanja naprav BroadWorks.